我们提倡用户在使用手机登录邮箱或其它类似应用时应该使用双因素身份验证，但是我又担心这样做终端设备会引起其它问题。比如，由于Android平台上的恶意软件问题，用户是否应该避免在Android设备上进行双因素身份验证？或者说双因素身份验证是否会得不偿失？

Michael Cobb：双因素身份验证是目前许多大牌网站的一个热门应用，各网站都开始应用其作为一个额外的密码防范功能。大多数银行都已经强制用户使用双因素身份验证来访问在线服务，但是近期攻击者对一些知名度高的，如美联社的Twitter账号的攻击导致了非金融网站也开始考虑提供这种额外的防御层以避免账户被挟持。Twitter也加入了微软、苹果、谷歌、Facebook和Dropbox的行列，在用户登录时提供双因素身份验证选项。

大多数双因素身份验证技术都是在用户使用用户名和密码登录时，用在线服务生成一个OTP（一次性密码）。用户可以通过注册时的移动设备收到含有OTP的短信（SMS），在网站上输入OTP就可以完成登录过程。尽管双因素身份验证是在普通密码验证基础上的一个必然改善，但是它并非绝对可靠的。

比如，中间人攻击可以通过欺骗用户访问一个假冒网站来阻碍这类型的双因素身份验证。这个假冒网站看起来和用户想要访问的网站非常像，用户在这个伪装网站上输入用户名和密码。攻击者通常将这个用户名和密码在真正的合法网站上输入，那么网站就会发送给用户一个OTP。显然，用户还是不会意识到事情出现了问题，仍旧将OTP输入到这个假冒网站上，这时，攻击者就可以将OTP输入到合法网站，获得该账户的访问权。

高价值或高知名度的账户也可以通过使用号码移植方法而被攻击。当攻击者用方法蒙骗移动运营商，将受害者的手机号码转移到受攻击者控制的一个新账户时，任何发送到受害者手机上的短信或电话都会被发送给攻击者。

Android用户目前面临另一个威胁，来自于Princer木马的一个新版本Android.Princer.2.origin,这个恶意病毒可以通过伪装成安全证书来感染Android设备，它还能拦截和转发要收到的短信息。这样就显然破坏了双因素身份验证想要提供的保护功能，危及到任何包含敏感信息的短信，如用于确认网上银行交易的交易验证号。

双因素身份验证漏洞最终也极有可能出现在其它移动设备上。就像2011年RSA SecurID令牌的缺口一样，这件事提醒了用户任意第三方认证技术安全性都依赖于相关厂商提供的安全性，或者说在短信的安全方面，就依赖于移动服务提供商的安全措施了。目前一个研究中间人攻击和证书欺骗攻击的厂商就是Duo Security公司，该公司的Duo Push技术采用非对称加密技术来签名和验证Duo’s服务器和执行Duo Push应用程序智能手机之间的通信。

相比起其它安全措施，双因素身份验证是易于使用的安全保护和教育用户如果使用可用的安全技术两者的一个平衡。尽管目前大多数的双因素身份验证实施都存在真实的漏洞，但是当网站提供双因素身份验证选项时，用户最好还是选择使用双因素身份验证，因为使用它比不使用要安全很多。